1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Mozilla: Firefox holt veraltetes TLS…

Zwischenvariante...

  1. Thema

Neues Thema Ansicht wechseln


  1. Zwischenvariante...

    Autor: JouMxyzptlk 23.03.20 - 17:32

    TLS 1.0 und 1.1 aktiv lassen, aber Formulare funktionieren nicht mehr. Eingaben werden vom Browser nicht übertragen.

    Ultra HD ist LOW RES! 8K bis 16K sind mein Metier.

  2. Re: Zwischenvariante...

    Autor: ratti 27.03.20 - 19:14

    Und Sicherheitslücken im Protokoll, die den Rechner angreifbar machen?

  3. Re: Zwischenvariante...

    Autor: JouMxyzptlk 27.03.20 - 19:28

    Du vermischt hier zwei Sachen.
    Meine Sache: Es kann abgehört werden.
    Deine Sache: Eine Fehlerhafte Implementierung kann deinen Rechner übernehmen.
    Letzteres kann gefixt werden, ersteres nicht.

    Anderes Beispiel was auf deine Sache zutrifft:
    Eine sogenannte ZIP-Bombe. Anfangs hat das alle möglichen Packer und AV Programme durcheinandergebracht, und es mussten Gegenmaßnahmen unternommen werden. So ziemlich alle aktuellen Packprogramme sind immun dagegen. Genau das gleiche ist bei der TLS Implementierung: Gefundene Schwachstellen im Protokoll welche vergleichbare Probleme machen muss mit Schutzmaßnahmen im Code abgefangen werden.

  4. Re: Zwischenvariante...

    Autor: ratti 27.03.20 - 20:14

    Ich habe zugegebenermassen noch nie etwas im Zusammenhang mit SSL-Libraries entwickelt, aber nach allem, was man dazu in der Fachpresse liest, hat man bei den alten Protokollen falsch gemacht, was falsch zu machen war: Unklare Spezifikationen, Sonderwürste, Algorithmenvielfalt inklusive mathematischer Hintertüren durch die Geheimdienste und und und.

    Was man noch so liest, ist, dass die Implementierungen dann noch lausig durchgeführt wurden, oftmals von Leuten, die dieses komplexe Thema gar nicht durchschauen und sich nur „ihren“ Sugar Path zusammengebaut haben.

    Also vor 6 Jahren die Sicherheitslücke „Heartbleed“ in openssl auftauchte und zum Fork libressl führte, da haben die als erstes plattformabhängigen Code für „Mac OS“ entfernt. Also, wohlgemerkt, nicht das mehrfach umbenannte heutige „MacOS / OS X / Mac OS X“, dass Apple heute verkauft, sondern die Vorgängerversion für 68030 und frühe PowerPC-Prozessoren.

    Die Software um SSL scheint mehr oder weniger unwartbar, weil, Kardinalfehler Nummer 1 der Softwareentwicklung: Komplexität.

    Den Zusammenhang mit 42.zip verstehe ich nicht.

    Den Speicherplatz eines zu entpackenden Kompressionsblocks kurz abzufragen, bevor man „blind“ eine Petatonne Festplatten alloziert ist ein trivialer Dreizeiler. Eine saubere SSL-Library zu bauen hat meines Wissens noch keiner geschafft.

  5. Re: Zwischenvariante...

    Autor: JouMxyzptlk 27.03.20 - 22:06

    ratti schrieb:
    --------------------------------------------------------------------------------
    > Den Speicherplatz eines zu entpackenden Kompressionsblocks kurz
    > abzufragen, bevor man „blind“ eine Petatonne Festplatten
    > alloziert ist ein trivialer Dreizeiler.

    Die Bomben zielen auf RAM, nicht auf HDD. Und bitte PetaBYTE, nicht PetaTONNE, hier geht es nicht um einen Würfel aus Wasser mit einer Kantenlänge von 10 km.
    Und ja, klar sind es wenige Zeilen Code. Viele Fixes sind so wenig Zeilen Code. Oft nicht mal eine halbe Zeile weil > durch >= ersetzt werden muss oder "while" durch "ultil" oder sonst was banales.

    > Eine saubere SSL-Library zu bauen hat meines Wissens noch keiner geschafft.

    An dem Punkt wird auf TLS 1.3 nichts ändern.

  6. Re: Zwischenvariante...

    Autor: ratti 28.03.20 - 05:53

    JouMxyzptlk schrieb:
    --------------------------------------------------------------------------------
    > ratti schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Den Speicherplatz eines zu entpackenden Kompressionsblocks kurz
    > > abzufragen, bevor man „blind“ eine Petatonne Festplatten
    > > alloziert ist ein trivialer Dreizeiler.
    >
    > Die Bomben zielen auf RAM, nicht auf HDD.
    In dem Fall dasselbe, weil die Applikation dann swappt. Deswegen „rödelt“ der Rechner, weil der virtuelle Speicher ausufert.

    > Und bitte PetaBYTE, nicht
    > PetaTONNE, hier geht es nicht um einen Würfel aus Wasser mit einer
    > Kantenlänge von 10 km.

    Ich bitte dich. Bei dem Begriff „eine Petatonne Festplatten“ muss man doch erkennen, dass es sich um ironisierte Bildsprache handelt, oder?

    > Und ja, klar sind es wenige Zeilen Code. Viele Fixes sind so wenig Zeilen
    > Code. Oft nicht mal eine halbe Zeile weil > durch >= ersetzt werden muss
    > oder "while" durch "ultil" oder sonst was banales.
    >
    > > Eine saubere SSL-Library zu bauen hat meines Wissens noch keiner
    > geschafft.
    >
    > An dem Punkt wird auf TLS 1.3 nichts ändern.

    Nochmal: Komplexität ist ein großes Problem in Software.

    Code löschen zu können ist immer eine Verbesserung. Code hat Fehler, immer. Code ist Angriffsfläche und Fehlerursache.

    Alter Legacy-Code ist das Grauen für jeden Entwickler, und er ist das größte Problem beim Refactoring. Jedes größere Softwareprojekt brennt darauf, alten Code endlich löschen zu können, weil er die Pflege des neueren Codes blockiert.

    Wir coden heute anders als vor 20 Jahren. Wir können getrost davon ausgehen, dass der Code, um den es hier geht, mehr oder weniger unwartbar ist.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. INEOS Manufacturing Deutschland GmbH, Köln
  2. Dataport, verschiedene Standorte
  3. OEDIV KG, Bielefeld
  4. KfW Bankengruppe, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


  1. Hamsterkäufe: App soll per Blockchain Klopapiermangel vorbeugen
    Hamsterkäufe
    App soll per Blockchain Klopapiermangel vorbeugen

    Das Bundesamt für zentrale Wirtschaftsplanung will gegen Hamsterkäufe von Klopapier vorgehen. Einkauf und Verbrauch sollen künftig nur noch mit einer Online-Registrierung möglich sein.

  2. Coronapandemie: "Gamescom findet in jedem Fall statt"
    Coronapandemie
    "Gamescom findet in jedem Fall statt"

    Verschiebung ausgeschlossen: Die Gamescom findet zum bekannten Datum statt - notfalls in digitaler Form.

  3. Trotz Boykott: Huawei steigert Einkäufe aus den USA um 70 Prozent
    Trotz Boykott
    Huawei steigert Einkäufe aus den USA um 70 Prozent

    Der Huawei-Vorstandsvorsitzende Eric Xu erwartet Vergeltungsmaßnahmen von der chinesischen Regierung, falls die USA den Boykott verschärfen.


  1. 07:42

  2. 17:42

  3. 17:21

  4. 17:06

  5. 16:18

  6. 15:48

  7. 15:33

  8. 15:18